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К организации интеллектуальной защиты 
информации на базе адаптивных средств 
классификации с инкрементным обучением 


Рассмотрены вопросы организации системы защиты информации (СЗИ), которая ориентирована на 
процессы адаптации к динамике компьютерных атак. Показано, что в иерархической модели адаптивной 
СЗИ нижний уровень, ответственный за оперативную реакцию на динамику внешнего окружения, должен 
быть интеллектуальным (по аналогии с иммунными механизмами биосистемы). Верхний уровень 
(соответствует процессам обобщения центральной нервной системы) ориентирован на использование 
интеллекта администратора безопасности в качестве компонента модели. Каждый из уровней содержит 
средства нейросетевой классификации с инкрементным обучением, позволяющие повысить оперативность 
СЗИ за счет минимизации количества кластеров при периодическом выполнении этапов структурной и 
параметрической оптимизации. 


Введение 


Актуальность предложенных на обсуждение материалов обусловлена тем, что 
системы защиты информации (СЗИ), предназначенные для обеспечения безопасности 
информационно-коммуникационных систем (ИКС), должны реализовать оперативную 
реакцию в условиях высокой динамики угроз, изменения стратегии компьютерных атак. 
Одно из решений проблемы — применение интеллектуального подхода к разработке 
перспективных СЗИ [1], [2]. 

Одним из требованием к СЗИ для критически важных объектов является оператив- 
ность реакции на угрозы возникновения деструктивных системных событий. К крити- 
чески важным объектам ИКС относят техногенные системы, выведение из строя которых 
может привести к катастрофическим последствиям. 

Инкрементное обучение позволяет реализовать адаптацию средств нейросетевой 
классификации в режиме реального времени [3], что принципиально важно для СЗИ 
критически важных объектов. 

В основе адаптивных средств классификации (АСК) с инкрементным обучением 
лежит принцип двойной пластичности: структурные изменения в биосистеме проис- 
ходят реже, чем изменения функциональных параметров [4]. 

Рассматриваемая задача — повышение оперативности АСК согласно принципу двой- 
ной пластичности, т.к. одновременно формируется топология и производится обучение 
нейронной сети (НС). Основная идея нейросетевого классификатора ЕМАММ - первич- 
ность эволюции внутренних функциональных параметров НС в процессе обучения и вто- 
ричность изменения ее структуры. Повышение точности классификации сопровождается 
поддержанием минимальной топологии НС [4], [5]. АСК формируются добавлением и/или 
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изъятием формального нейрона (ФН) без существенного изменения остальных весов меж- 
нейронных связей (информационного поля НС). Изменение структуры АСК не сопро- 
вождается обучением информационного поля всей НС, а только фрагмента, связанного 
с упомянутым ФН, что увеличивает оперативность инкрементного классификатора. 

Инкрементным обучением с учителем при решении задач классификации характе- 
ризуется класс сетей АКТ, включающий РЕи77у АКТМАР (ЕАМ) [3], [6]. Проблемами 
сетей АКТ являются рост числа кластеров в процессе эксплуатации классификатора 
и явление пролиферации. Подобные явления снижают производительность сетей АКТ 
и оперативность реакции СЗИ на динамику угроз. 

Цель работы — обсуждение подхода к организации интеллектуальной защиты ин- 
формации на базе АСК с инкрементным обучением. На этапе структурной пластичности 
помимо увеличения числа кластеров в процессе обучения НС периодически выполняется 
процедура сокращения их числа за счет удаления малозначащих кластеров и кластеров, 
сформированных посредством пролиферации. 


Модель интеллектуальной СЗИ 


Рассмотрим модель интеллектуальной СЗИ в виде иерархии уровней АСК [2]. 

Знание — структурообразующее понятие, постоянный процесс изменения связей 
данных. Информационная база (ИБ) состоит из взаимосвязанных базы данных (БД), 
базы знания (БЗ), средств ее разработки и управления, а информационные процессы 
рассматриваются как субъект-объектное взаимодействие. Для организации субъект- 
объектного взаимодействия требуются две информационные базы, которые образуют 
интеллектуальную базу [1]. 

Одна информационная база представляет жизненный опыт — «память», а другая — 
«текущее состояние» системы. Новые знания возникают в процессе взаимодействия 
информационных баз и стабилизации их структуры. 

Рассмотрим, каким образом концепция интеллектуальной базы соотносится с иерар- 
хией уровней АСК в составе СЗИ. Согласно [2], [8] система защиты ИКС может быть 
представлена двухуровневой иерархической структурой: 

— нижний уровень — автоматический за счет наличия интеллектуальной базы, кото- 
рая самостоятельно набирает опыт эксплуатации в процессе «общения» ИБ «память» 
и ИБ «текущее состояние» через коммуникационную среду; 

— верхний уровень также содержит информационную базу, ориентирован на полу- 
чение информации о динамике изменения нижнего уровня и не является интеллектуаль- 
ным и автоматическим, т.к. решение принимает администратор безопасности (он является 
интеллектуальной базой уровня). 

То есть при сохранении двухуровневой иерархии СЗИ, содержащей АСК, назначе- 
ние и функции уровней СЗИ разные: 

— нижний становится интеллектуальным (аналог иммунных механизмов в 
организме, которые работают оперативно и автоматически, практически без коррек- 
ции со стороны головного мозга — центральной нервной системы организма); 

— верхний (соответствует процессам запоминания в центральной нервной 
системе организма, которая работает значительно медленнее) накапливает опыт под 
контролем и участии администратора безопасности. 

Проиллюстрируем изменения в модели СЗИ посредством рис. 1 [7]. 

В момент создания интеллектуального уровня в него с верхнего уровня иерархии 
загружают (этап наследования): исходные БД и БЗ, начальные методы их взаимодей- 
ствия с внешним миром и их собственной коррекции. 
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Интеллектуальный уровень 


Рисунок 1 — Иерархия адаптивных уровней интеллектуальной СЗИ 


Нижний уровень взаимодействует с внешним миром и автоматически изменяется: 
в ИБ «Текущее состояние» изменяются как БД и Б3З, так и методы взаимодействия с 
внешним миром и их коррекции (реализуется свойство пластичности). В ИБ «Память» 
происходят аналогичные изменения, но в результате взаимодействия с ИБ «Текущее 
состояние» и целевых установок верхнего уровня (администратора безопасности) — 
в памяти фиксируются существенные изменения (реализуется свойство стабильности). 

Верхний иерархический уровень СЗИ получает с нижнего уровня иерархии системы 
защиты динамику состояний как «памяти» (стабильность), так и «текущего состояния» 
(пластичность) с целью интеллектуального анализа (посредством АСК) и коррекции 
структуры СЗИ (посредством методики оптимизации при участии естественного интел- 
лекта администратора безопасности ИКС). 

Для организации информационной связи с внешним миром необходимы посред- 
ники — параметры физической среды, через которые можно судить о динамике воздей- 
ствия коммуникационной среды ИКС и Интернета. В качестве входных параметров могут 
выступать: 

— статистика ИКС (частота посещения ИКС, анализ сетевых адресов: из каких 
доменов, частота повторения адресов и пр.); 

— статистика операционной системы (открытие, закрытие файлов, операции над 
файлами, временные параметры, попытки обращения к системным файлам и защи- 
щаемым областям памяти и пр.). 


Анализ нейросетевых АСК с инкрементным обучением 


Проведем анализ архитектурных аспектов сетей ЕАМ и ЕМАММ с сохранением 
обозначений, принятых в оригиналах материалов [5], [9], [10]. 

Еи77у АВТМАР часто реализуют в виде упрощенной модели (рис. 2) [9], получен- 
ной комбинацией самообучаемой сети АКТ с полем преобразования. 

ЕАМ состоит из двух уровней узлов (нейронов) с полными связями: М узлов 
входного слоя Ру, и М узлов соревновательного слоя ЁЕ2. Набор вещественных весов 
И’ = {, = [0] 1=1, 2,..,М; 1=1,2,..,М№ } соответствует Ё1-ю-ЁР> связями. Каждый /-Й 


узел слоя Ё> представляет категорию распознавания, которая соответствует вектору-про- 
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тотипу %, = (м ,,\, ,....№м;). Слой Е», связанный через обученные ассоциативные связи 


с1,..., узлами, отображает поле преобразования (тар Не!9) Е“ ‚ где Г. — число классов 
в выходном пространстве. Набор бинарных весов И” =? = {01}: 1=Ъ2,..,№ /=12,...1} 


аь аБ 
л› 


Ь Ь Ь (м 
связан с Р>-®ю-Е“’связями. Вектор и = (Ин, м2...) связывает /-Й узел слоя Е›с Ё 


узлами выходных классов. 


тасй 
тасКкто 


д с 


Рисунок 2 — Архитектура Еи72у АВТМАР 


В режиме адаптации ЕАМ использует метод обучения с учителем над нормализо- 
ванными векторами входного набора обучающей выборки а = (а, а.,....а„), 0<а, <1, 


согласно выходному вектору (оиёрий 1аБе|5) #= (1 ,1,,...,й,) , где & = 1, если К — целевая 
метка класса для вектора а, и «= 0 иначе. 

М = 2т представляет размерность вектора А = (а, 1 — а), сформированного из 
вектора а путем добавления комплементарного фрагмента 1 - а, где 1 обозначен т- 
мерный вектор, все координаты которого равны 1. 

Следующий алгоритм описывает обучение Еи77у АКТМАР [9]: 

1. Инициализация. Изначально все узлы слоя Е› нейтральны, значения весов 


Ь 
и, = 1, а значения весов у = 0. Задают начальные значения нормы (скорости) 


обучения Ве [0; 1], параметра выбора а, > 0 и параметра бдительности ре [0; 1]. 
Один из узлов слоя Ё> становится активным по результатам соревнования с другими 
аналогичными узлами при поступлении входного вектора а (образца), и затем ас- 
социируется с одним из узлов в слое Е®. 

2. Комплементарное кодирование входного вектора. Когда ЕАМ представлена 
обучающаяся пара (а; #), вектор а подвергается преобразованию кодирования допол- 
нением, которое удваивает число его координат. Полученный таким образом 
комплементарный входной образец имеет размерность М = 2т и представляется 
вектором А=(а, а“) = (а, а,,...а,; а, ‚а>,...а“), где а; =(-а,) а; Е [0; 1]. Параметр 
бдительности р равен базовому значению р. 

3. Выбор прототипа (шаблона). Образец А через слой Р'; передается по взвешен- 
ным связям И’ к слою Е>. Активация каждого узла / в слое Е› определяется функцией 
выбора: 


[Или 
те, (1) 


а 
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(сподсе рагатает), ^ — нечеткий оператор пт, (Ал %,) = пш(А,,,). 


где || — оператор нормы, ‚ 9 — заданный пользователем параметр выбора 


Слой Е› формирует бинарный вектор активности у=(у,, у.,..., Ух) по принципу 


«победитель получает все». Побеждает узел /=/ с максимальным значением функции 
выбора „Л = аге тах {Т, :/ =1,2,...,№М}. При этом у, =Ьу, =0,/ =. Если функции 


выбора Т; имеют несколько равных максимальных значений, то выбирается узел ] с 
наименьшим значением индекса. Узел „Л передает выходной вектор опытного 
образца в обратном направлении к слою РЁ; для выполнения теста бдительности 
(У1оПапсе {е50). Тест сравнивает степень соответствия (4естее оЁР тасВ) между и’) и 
А с параметром бдительности (у1Папсе рагатеег) р: 
|А ли й С о 
и 2Р. (2) 
Если тестирование успешное, то узел Л остается активным, и считают, что имеет мес- 
то резонанс. Иначе, узел /в слое Ё> деактивируется (т.е. Тлустанавливают в 0, пока в сети не 
представлена следующая обучающая пара (а; #)) и исследуют следующий узел ./ с макси- 
мальным значением функции выбора, который может пройти тест бдительности. Если та- 
кой узел не обнаружен, то активируется и обучается ранее нейтральный узел в слое Ро. 
4. Предсказание класса. Полю преобразования Е“? для обучения с учителем кате- 
гории у слоя Ё> предъявляется выходной образец # ‚ чтобы инициировать поле пре- 


образования через ассоциативные веса И”“”. Слой Е“’ формирует двоичный вектор 
аь 
1 


Ь Ь [ КР 
активности у”’=(у”, у’... у!) , в котором наиболее активный узел К выполняет пред- 


сказание класса К` = К (1). Если узел К определил класс входного образца неправильно, 
то процедура состязания (таб гаскт®) увеличивает параметр бдительности р до 
значения, достаточного для стимулирования поиска среди других узлов слоя Р> (п. 3). 
Этот поиск продолжается, до тех пор, пока: 1) узел Л после дополнительного обучения 
правильно предскажет класс К и станет активным или 2) активируется нейтральный 
узел в слое 2. 

5. Обучение по входному вектору а приводит к модификации вектора прото- 
типа у?’,, создается ассоциативная связь к полю АР ый вектор прототипа узла .Л из слоя Ё> 
модифицируется согласно: 


и, = В(Али,) + 1- В)%,, (3) 


где В — параметр нормы обучения. Алгоритм может быть настроен на быстрое обучение 
(В = 1) или замедленное обучение (0 < В < 1). ЕАМ, использующая комплементарное 
кодирование и инкрементное обучение, представляет категорию / как т-мерный гипер- 
прямоугольник А/, который является достаточно большим, чтобы охватить соответст- 
вующий вектор а обучающей выборки. Новая ассоциация между узлом .Л из слоя Ё> 


и узлом К из ЕЁ ив (К =К (1) обучается путем задания веса связи и = 1 для = К, где К— 
целевая метка класса для а, и у = 0, иначе. Если веса И’ сходятся для образцов обучаю- 


щей выборки с заданной точностью, ЕАМ может предсказывать метку класса для каж- 
дого входного образца, выполняя п. 2 — 4 без тестов бдительности или соответствия. 
Геометрическая интерпретация Еи77у АВТМАР [10]. Шаблон (прототип), со- 
ответствующий активному узлу, называется активным шаблоном (помечен литерой а), 
а шаблон нейтрального узла — нейтральным шаблоном, который представляется 


682 «Искусственный интеллект» 42010 


К организации интеллектуальной защиты информации ... 8Н 


вектором, все координаты которого равны 1. Нисходящие веса от узла в области ЁЕ> 
рассматриваются как шаблон. Если имеется активный шаблон у’; , соответствующий 
входным образцам /' = (х(1),х°(1)), Г” = (%(2),х‘ (2)), ..., 1’ =(ЖР),х°(Р)), то 
согласно правилу обучения ЕАМ и’; может быть записан как: 


и; = ла Г = (лыж, лы Х° (0) = (ла), М ХФ). 


Или и” = (и*, {у }°), где ит =л; х( и уе =; (О. Вектор веса %* в терминах М- 
мерных векторов и’ и у; м.б. представлен двумя точками в М-мерном пространстве 
(рис. 3 для М = 2) [19]. 

Геометрическое представление весов может быть расширено на пространство вход- 
ных образцов. Входной образец / = (х, х°) можно геометрически интерпретировать 
прямоугольником с конечными точками (еп4-рош®) х их, т.е. вектор / может быть пред- 
ставлен прямоугольником размера 0 или отдельной точкой х в М-мерном пространстве. 

Размер прямоугольника К; с конечными точками и, и и, принят равным нор- 


ме вектора [/=у; —и’ ‚ где норма вектора — это сумма абсолютных величин ее компо- 

нентов. Итак, можно представлять м’, = (и’, {у,}°) как прямоугольник К’; с конечными 
а а И с 

точками и; и у, в М-мерном пространстве, а Г=(х, х°) как точку х в М-мерное 

пространстве. 


В течение процесса обучения ЕАМ «сжатые» представления входных образцов, 
принадлежащих к набору обучения, формируются в области ЁР› и могут визуализирова- 


ться как прямоугольники, соответствующие активированным узлам в А». Идея соотнесе- 
ния прямоугольника с кластером (узлом НС) состоит в том, что в пределах его границ 
разместились соответствующие этому узлу входные образцы. В ЕАМ представления 
входных образцов, размещенные в слое Е)’, ассоциируются (аге тларреа) в ходе обучения 
с их правильными выходными образцами (метками). 

Каждый нисходящий вектора веса и’, ‚ соответствующий узлу / в слое РУ", в М- 


мерном пространстве интерпретируется прямоугольником с конечными точками и’ 

и_ у, ‚ авходной образец / = (х, х°)— М-мерным вектором входа х (рис. 3) [10]. 
Расстояние 45(х, и’, ) между входным образцом х и прямоугольником К’ , пред- 

ставляющего категорию у’, ‚ который не включает х, — это минимальное расстояние от 


х до точки, принадлежащей границе прямоугольника К; . 


Нейронная сеть ЕМАММ представляется в виде иерархии модулей, в которой 
вводится операция расширения НС [5]. Каждый модуль — НС с одним скрытым слоем. 
Входы ЕМАММ соединены со входами всех модулей, что позволяет избежать зависи- 
мости новых модулей от имеющихся модулей. Выходы имеющихся модулей соединены 
со входами введенного модуля, а решение задачи снимается с выходов модуля верхнего 
уровня. В процессе обучения (параметрическая пластичность) каждый новый модуль 
должен дополнять существующие и извлекать полезную информацию из модулей более 
низкого уровня. 

Минимальная структура ЕМАММ имеет один ФН в скрытом слое. Количество вхо- 
дов и выходов определяется условиями задачи. Так как начальная структура (информа- 
ционное поле НС) минимальна, то для поддержания обобщающей способности следует 
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периодически наращивать информационное поле НС путем добавления ФН и межней- 
ронных связей (структурная пластичность). Также периодически следует избавляться от 
малозначащих для классификации ФН [5] согласно весовому параметру нейрона (ВПН) — 
среднее значение весов данного ФН 


ВПН =-=____, где и — число входов ФН, И’; — значение веса 1-Й связи. 


Вклад ФН в процесс классификации характеризуется близкими к 1 значениями 
выхода. Стабильный ФН, сильно влияющий на результаты классификации, — это 
нейрон, ВПН которого превышает заданное пороговое значение. Если все ФН модуля — 
стабильные, то положение разделяющих гиперплоскостей классификатора фиксировано 
и не изменяется в процессе обучения НС (модуль не совершенствуется). Поэтому 
ЕМАММ поддерживает в модуле ряд нестабильных ФН, которые характеризуются ма- 
лым значением ВПН, формируют на выходе значения в диапазоне 0,5, а положение 
связанных с ними гиперплоскостей может изменяться в процессе обучения НС. Бес- 
полезный ФН определен как нейрон, ВИН которого меньше значения порога полезности. 
Удаление бесполезных ФН мало влияют на функции модуля. 

Удаление ФН предшествует добавлению нового модуля. При добавлении ФН 
в скрытый слой модуля его веса задают по принципу комплементарности остальным 
ФН данного модуля. Для содействия другим ФН с низким значением ВПН новые ФН 
инициализируют, чтобы их выходы максимально отличались от выходов остальных 
ФН за счет комбинации весов, имеющей максимальное количество инверсий знаков. 

Эволюция каждого модуля включает 4 этапа [4]. 

Этап подъема - добавление ФН при превышении значения константы подъема. 
Этап завершается, если один из ФН становится стабильным, но хотя бы один вес связей 
между входами НС и ФН текущего модуля превышает порог стабилизации — гарантия, 
что хотя бы один из новых ФН участвует в классификации. 

Этап улучшения — при стабилизации в модуль добавляется новый ФН и в про- 
цессе обучения отслеживается улучшение решения задачи (по мере увеличения числа 
стабильных ФН точность решения задачи улучшается). Этап улучшения завершается, 
если ни один из ФН не стабилизировался за время, называемое параметром ожидания. 

Этап сокращения - удаление ФН, ВПН которых меньше порога полезности. 

Этап восстановления — адаптируют модуль на малом числе эпох обучения для 
восстановления точности решения задачи, сниженной на этапе сокращения. 

После завершения описанного цикла структура модуля фиксируется, и ЕМАММ 
переходит к построению нового модуля более высокого уровня (модуль будет оставлен 
при условии, что его добавление улучшит точность решения задачи). Как достоинство 
можно отметить наличие механизма регуляции числа ФН: ЕМАММ увеличивает число 
ФН по мере роста сложности задачи, что помогает найти оптимальное по сложности 
решение задачи. 


Модификация алгоритма ЕАМ 


Модификация алгоритма ЕАМ заключается во введении этапов сокращения и 
восстановления по аналогии с подходом ЕМАМ№, что позволит уменьшить количество 
малозначащих для классификации ФН с последующим восстановлением точности в про- 
цессе обучения. Сокращение числа малозначащих или идентичных кластеров в ЕАМ 
приведет к повышению оперативности интеллектуальных СЗИ. 
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Однако используемый в ЕМАММ критерий ВПН не может быть применен в ЕАМ, 
тк. шаблон (кластер) у, = (м, м», ,,....№м;), представляющий /-ю категорию распо- 


знавания, при комплементарном кодировании входных параметров а’ = (1-—а,) харак- 


теризуется постоянным значением весового параметра ФН для всех /. 

Предлагается на обучающей (и тестовой) выборке набирать статистические 
сведения, например, о взаимосвязи входных векторов с конкретными узлами слоя 
Е›-— победителями соревнования. Можно фиксировать число К; входных векторов, 
соответствующее каждому /-му кластеру. Кластер удаляется, если его А; < п (степени 
востребованности кластера) и качество классификации ухудшилось на величину 4 < п 
(допустимое ухудшение). 

Кроме того, для выявления повторяющихся кластеров следует определять расстоя- 
ние Д, между 1-м и /-м шаблонами, представляющими различные категории распозна- 
вания, 57. Кластер можно убрать, если у < к (степень различия кластеров) и качество 
классификации ухудшилось на величину 4 < (допустимое ухудшение). Среди по- 
вторяющихся кластеров в качестве базового для сравнения следует выбирать кластер, 
у которого число А; входных векторов, соответствующее /-му кластеру максимально. 

Рис. 3 иллюстрирует процесс сокращения числа кластеров. В процессе обучения 
классификатора сформированы две категории у’! ии’, #7. При поступлении нового 


входного образца /Г = (х, х°) определяются его удаленность 45(х, и’) и 45(х, %,) от 


каждого из кластеров (рис. 3 а). 

В режиме «быстрого» обучения согласно (3) более близкий /-й кластер увеличи- 
вается и включает в себя входной образец (рис. 3 6). 

Рис. 3 б иллюстрирует случай, когда две категории распознавания, близкие во вход- 


[ > 
ном пространстве, определяют один класс у’’. В качестве базовой категории выбирается 


кластер у’;, у которого большее число входных векторов А; = 6 по сравнению с клас- 


тером и” (&;=2). 


Сеиевогу 


Г. 


а) отнесение образца /=(х,х’) к /-му кластеру 
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Сиевогу 
. Сиевогу 
и” 


ро? 


6) выбор базового кластера для сравнения 


Сиевогу 


й 


а 
и, 


в) результат сокращения количества кластеров 


Рисунок 3 — Иллюстрация процесса сокращения количества кластеров 


После удаления кластера и” следует провести цикл обучения только на входных 


векторах, соответствующих удаленному /-му кластеру. Так после удаления кластера и” и 

обучения НС на входных образцах хх и ху, ранее входивших в удаленный кластер, уве- 
х а 

личившийся в размерах кластер у’, обучился распознаванию образцов хб и х7 (рис. 3 в). 


Отметим, что кандидата на удаление среди кластеров можно выбирать по ряду 
других критериев, к примеру по максимальному числу ошибочных классификаций. 


Выводы 


Широкое использование сетей АКТ позволяет считать актуальным поиск под- 
ходов, позволяющих улучшить их эксплуатационные характеристики и не в последнюю 
очередь скорость выполнения операции классификации. Реализация в инкрементных 
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классификаторах АКТ процедуры сокращения малозначащих и повторяющихся клас- 
теров позволяет увеличить производительность построенных на их основе адаптивных 
средств защиты информации как в режиме работы, так и в процессе обучения, а следо- 
вательно, в полной мере реализовать режим функционирования СЗИ, близкий к реаль- 
ному масштабу времени. 


И 


. Нестерук Г.Ф. Информационная безопасность и интеллектуальные средства защиты информационных 
ресурсов. (Иммунология систем информационных технологий) / Нестерук Г.Ф., Осовецкий Л.Г., Хар- 
ченко А.Ф. — СПб. : Изд-во СПбГУЭФ, 2003. — 364 с. 

2. Адаптивные средства обеспечения безопасности информационных систем / [Нестерук Ф.Г., Суханов А.В., 
Нестерук Л.Г. ‚ Нестерук Г.Ф.] ; под ред. Л.Г. Осовецкого. — СПб. : Изд-во Политехнического универ- 
ситета, 2008. — 626 с. 

3. Сагрещег С.А. АВТМАР: Зирег\у5е4 Кеа|-Типе Геаглие апа Саззсайоп оЁ Мопз@айопагу Ра Бу а Зе 
Огзаттлте Мега] Мебмог / Сагрещег С.А., Отоззбего 5., & Кеупо!4$ /.Н. // Меига! Мебмо!К$. — 1991. — 
№4. -Р. 565-588. 

4. За]от Т. Ап а|еогифил Рог зе-5тасбагте пеига| пей с1аз1Йег$ / Т. За от, Н. Вегзши // Ргос. 214 1ЕЕЕ 
СопЁ. Оп Меига! МебмогК (1СММ' 94). — 1994. — Р. 1307-1312. 

5. Искусственные иммунные системы и их применение / [под ред. Д. Дасгупты ; пер. с англ. под ред. 
А.А. Романюхи]. - М. : ФИЗМАТЛИТ, 2006. - 344 с. 

6. Ритту АВТМАР: Ап адарНуе гезопапсе агсЬЦесйте Кг шсгетеща| ]еагпше оР апаю$ тарз / 
[О.А. Сагрещег, 5. ОтоззБеге, М. Ма Китоп и др.] // Ргос. оЁР Фе Пуегпайопа! Лошё Сопегепсе оп 
Меига! МебмотК. — 1992. 

7. Лачинов В.М. Информодинамика или Путь к Миру открытых систем / В.М. Лачинов, 
А.О. Поляков. - [2-е изд., перераб. и доп.] — СПб. : Издательство СПбГТУ, 1999. 

8. Организация иерархической защиты информации на основе интеллектуальных средств нейро- 
нечеткой классификации / Нестерук Г.Ф., Молдовян А.А., Нестерук Ф.Г. [и др.| // Вопросы 
защиты информации. - 2005. — № 3. - С. 16-26. 

9. А мраЕапа-уВеге Разюоп пеига| пебмотК ог гесогпйюп ап баскше оР шире гадаг епищег$ / 
Отапзег Е., Киба М. А., Отоззбеге 5., Гауоле Р. — Мега! Мемогк$. — Уо1. 3. — 2001. -Р. 325-344. 

10. ВБагад\уа] М. Зетт-бирегулзе4 Геаглие ш Ехетр!аг Вазе4 Меига! Мебмогк$ / М. Ввага4\ма] // А Фезз 
зибтиеа оЁ Фе гедитетет Рог фе деотее оЁ Мазег оЁ Зслепсе ш фе Перагтепе оЁ Еесйлса! ап4 Сотарщег 
Епотеенпе ш Фе СоПесе оРЕпотеепис аё фе Ошхегзиу оЁСепба| Еюпда, (ОПапдо, Еопаа, 2003).- 218 р. 


Ф.Г. Нестерук, Г.П. Нестерук 

До органзацй 1нтелектуального захисту 1нформацй на баз! адаптивних класифкатор!в 
зшкрементним навчанням 

Розглянут! питання органй1зацй системи захисту 1нформацй, яка ор1ентована на процеси адаптаций до 
динамики комп’ютерних атак. Показано, що в 1ерархлчн!й модел! адаптивного захисту нижшй р\вень, 
видпов1дальний за оперативну реакщю на динамику зовниинього оточення, мае бути 1нтелектуальним 
(за аналомею з 1мунними механ1змами б1ологчно! системи). Верхвй равень (в1дпов1дае процесам 
узагальнення центрально! нервово! системи) ор1ентований на використання 1нтелекту админ1стратора 
безпеки як компонента моделе. Кожен з рвнв мстить нейромережний класифлкатор з 1нкрементним 
навчанням, який дозволяе шдвищити швидюсть класифукаци за рахунок мин1мзаци юлькост! кластер!в 
при перюдичному виконанн! еташв структурно! 1 параметрично! оптимпзаци. 


Рй.С. №еяегик, С.Рй. МеяегиЕ 

ше Песша! Ргобесйоп о? бе пгтайоп оп Фе Вазе 0 Адарбуе Са ег; УИ ве шсгетета! Тгашипо 
ТБе огоаплхайоп оЁ фе зузет оЁ за, \мысь 1$ опешще4 {ю Фе ргосеззез оЁР адарайопз 10 Фе 4упапс$ оЁ 
сотршег авасК$ 15 сопз14егед4. И 1$ татке4 {а а 1о\уег [еуе| оР ШегагсШса] плоде] оЁ адарнуе Чеепзе плиз 
Бе пиеПесва] (Бу апа]озу уф фе питипе тесВап15т$ оЁ йе Бло]оглса| зузет). А {юр 1еуе! 15 опеще4 ®ю 
Фе ие оЁ пиеПесЕ оЁ зубет адтиизгаюг аз а сотропепё оЁ моде! (Бу апаюзу У Фе ргосез$е$ оЁ 
оепега|йтаноп ог СМ). ЕасБ оф 1еуе!$ сощашз пеига| с1аз1Нег УИ Фе шстетепиа| {еасШте. А зипПаг 
с1аз51Нег епа]ез {0 шсгеазе 5рее4 ог ЧазуЙсайоп 4ие ю шшимхайоп о# атоцпе оЁ сазегз аё репо с 
пиретещайоп оЁ Фе 5асе$ оЁ зиасвига! ап рагатейлс орипитайоп. 
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